Red Hat gibt Praxistipps zu Container-Infrastrukturen

So werden Container sicher

| Autor / Redakteur: Ariane Rüdiger / Ulrike Ostler

Auch bei IT-Containern sollten sicher sein. Red Hat sagt wie.
Auch bei IT-Containern sollten sicher sein. Red Hat sagt wie. (Bild: gemeinfrei - distel2610/Pixabay / CC0)

Container-Infrastrukturen verbreiten sich rasant. Doch sie haben auch noch Schwachstellen. Eine davon ist die Sicherheit. Red Hat hat dazu einen Leitfaden erstellt.

Immer häufiger werden Container-Infrastrukturen eingesetzt: Sie sind agil, flexibel und fordern wenig Platz auf der Infrastruktur. Bei einer aktuellen Trendstudie von Solarwinds etwa lag die Containertechnologie auf Platz 5 der von den Befragten genannten Investitionsschwerpunkte. Und bei der aktuellen OpenStack-Nutzerumfrage (siehe unten) ergab sich, dass immer mehr Provider Bare-Metal-Infrastrukturen mit Kubernetes-Basis implementieren. Kubernetes ist die derzeit am häufigsten genutzte Managementumgebung für Container.

OpenStack unter dem Vorzeichen Kubernetes

OpenStack Summit in Berlin

OpenStack unter dem Vorzeichen Kubernetes

13.11.18 - Seit heute findet in Berlin der „OpenStack Summit“ statt. Gemeinhin steht OpenStack für Virtualisierung und Private-Cloud-Implementierungen. Doch in Berlin positioniert sich die OpenStack Foundation im Multi-Cloud-Umfeld und hebt die Bare-Metal-Einsatzszenarien mit „Kubernetes“ hervor. lesen

Doch weil die Containertechnologie in der breiten Anwendung noch relativ neu ist, erfordert sie auch neue Mechanismen und Konzepte, zum Beispiel hinsichtlich der Sicherheit. Red Hat, jüngst von IBM aufgekauft, hat sich Gedanken darum gemacht, wie man Container sicherer machen kann und diese Ideen in einem Leitfaden zusammengefasst. Formuliert hat ihn Lars Herrmann, General Manager, Workload Strategy for Cloud Platforms. Red Hat ist der Anbieter der Red hat Open Shift Containerplattform. Die wichtigsten Tipps in Kürze:

1. Vorzugsweise neuere Container-Images nur aus vertrauenswürdigen Quellen einsetzen.

Bei selbst entwickelten Container-Images ist das einfach – bei externen Quellen für Container-Images dagegen ein Glücksspiel. Deshalb sollten die Verantwortlichen sorgfältig prüfen, woher alle genutzten Bausteine und Libraries kommen:

  • Ist die Quelle vertrauenswürdig?
  • Ist sie schon mal unangenehm aufgefallen?
  • Wird sie gar in einschlägigen Verzeichnissen erwähnt?

Red Hat beispielsweise bietet einen Container Health Index an, der die Angebote von Softwareherstellern bewertet - unter anderem gemessen an ihrem Alter und den Auswirkungen der in einem Container verwendeten Sicherheits-Patches. Das Alter spielt eine wichtige Rolle, da ältere Images oft unsicherer sind, weil Sicherheitspatches häufig nur unregelmäßig eingespielt werden. Hier empfiehlt sich der Griff zu neueren Images.

2. Container nach dem Multi-Tenant-Modell voneinander isolieren.

Die Container sollten auf dem Host nach dem Multi-Tenant-Prinzip so voneinander getrennt werden, dass sie nicht auf die Ressourcen anderer Container zugreifen können. Auch die Ressourcen des Hosts selbst sind einem Container bei Multi-Tenant-Implementierung nicht zugänglich. Um die Multi-Tenant-Isolierung zu realisieren, gibt es in Linux grundlegende Sicherheitstechnologien. Beispiele sind Container-Runtime-Mechanismen wie Seccomp, Namespaces oder SELinux.

3. Eine Rollen- und Rechteverwaltung auf Ebene der Container-Plattform einrichten.

Von Anfang an sollte eine in die Containermanagement-Lösung eingebettete Rollen- und Rechteverwaltung eingerichtet werden. Hier definiert ein Administrator erstens, welche Rollen welche Aktivitäten mit einem Container durchführen dürfen und legt zweitens fest, welche Aktionen ein Container ausführen darf.

Normalerweise gibt es spezielle Rollen für Entwickler, Architekten oder Applikationsverantwortliche – Personen, die nicht eine dieser Aufgaben erfüllen, haben dann keinen Zugriff. Zusätzlich sind auch andere Verfahren möglich. Beispiele sind die Authentifizierung mittels einer im Unternehmen bereits vorhandenen LDAP-Lösung, die Isolierung von Entwicklungs-, Test- und Produktivumgebungen und die Netzwerksegmentierung.

4. Sicherheit von Anfang an und von Ende zu Ende.

Erstellen Entwickler Container-Applikationen, müssen sie von Anfang an nach dem Security-by Design-Prinzip vorgehen: Applikationen dürfen mit einer hohen Wahrscheinlichkeit keine Sicherheitsschwachstellen aufweisen. Container-spezifische Verfahren, und ergänzend Security-Tools ermöglichen eine hohe Container-Sicherheit – aber nur, wenn die Sicherheit von Anfang an und von Ende zu Ende implementiert wird. Dazu gehört eine Überwachung des Informationsflusses auf allen drei Ebenen einer Container-Umgebung: Container-Images, Container-Hosts und Container-Plattform. 

Was meinen Sie zu diesem Thema?

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 45663728 / Software)